CakePHP的安全性
安全性是构建Web应用程序的另一个重要特征。它确保了网站用户数据的安全。 CakePHP提供了一些工具,以确保您的应用程序安全。
加密和解密
CakePHP的安全类库提供加密和解密数据的方法。以下两种方法分别用于加密解密数据。
static CakeUtilitySecurity::encrypt($text, $key, $hmacSalt = null) static CakeUtilitySecurity::decrypt($cipher, $key, $hmacSalt = null)
加密方法将文本和键作为参数来加密数据,返回HMAC校验值。
hash()方法用来散列数据。以下是hash()方法的语法。
语法
static CakeUtilitySecurity::hash($string, $type = NULL, $salt = false)
CSRF
CSRF代表跨站请求伪造 。通过启用CSRF组件,就可以得到反攻击保护。 CSRF是Web应用程序的常见漏洞。它允许攻击者捕获和重放前一个请求,在其他域使用图像标记或资源提交数据请求。CSRF只需通过简单的添加CsrfComponent至组件阵列即可启用。
public function initialize(){
parent::initialize();
$this->loadComponent('Csrf');
}
该CsrfComponent与表单助手无缝集成。每次通过表单助手创建表单的时候,它都会插入包含CSRF安全令的隐藏域。
虽然不建议这样做,你可能要在某些请求中禁用CsrfComponent。您可以通过使用控制器的事件调度程序在beforeFilter()方法运行的过程中这样做。
public function beforeFilter(Event $event){
$this->eventManager()->off($this->Csrf);
}
安全组件
安全组件适用于安全要求更严格的应用程序。它为各类任务提供方法,如:-
限制您的应用程序接受的http方法 。在反作用发生之前,您应该总是检查HTTP方法。您应该检查HTTP方法或使用Cake\Network\Request::allowMethod()以确保使用正确的HTTP方法。
表单篡改保护 -默认情况下,SecurityComponent阻止用户以特定的方式篡改表单。SecurityComponent将阻止以下事件 -
未知域不能被添加到表单。
字段不能从表单中删除。
隐藏域的值不能被修改。
要求使用SSL -所有动作要求SSL加密。
限制跨控制器的通信 -我们可以限制哪些控制器可将请求发送到此控制器。我们也可以限制哪些方法可以发送请求到此控制器的方法。
例
修改config/routes.php文件如下。
config/routes.php文件
<?php
use CakeCorePlugin;
use CakeRoutingRouteBuilder;
use CakeRoutingRouter;
Router::defaultRouteClass('DashedRoute');
Router::scope('/', function (RouteBuilder $routes) {
$routes->connect('login',['controller'=>'Logins','action'=>'index']);
$routes->fallbacks('DashedRoute');
});
Plugin::routes();
在src/Controller/目录下创建一个LoginsController.php文件。复制以下代码至其中。
src/Controller/LoginsController.php
<?php
namespace AppController;
use AppControllerAppController;
class LoginsController extends AppController{
public function initialize(){
parent::initialize();
$this->loadComponent('Security');
}
public function index(){
}
}
?>
在src/Template目录下创建一个Logins目录,并在该Logins目录下创建一个名为index.ctp的视图文件。复制以下代码至其中。
src/Template/Logins/index.ctp
<?php
echo $this->Form->create("Logins",array('url'=>'/login'));
echo $this->Form->input('username');
echo $this->Form->input('password');
echo $this->Form->button('Submit');
echo $this->Form->end();
?>
通过访问以下网址执行上面的例子- http://localhost:85/CakePHP/login
输出
执行以上程序,您会看到如下页面:
